Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Registro de logs excesivo

12/03/2009 - 13:29 por Abast | Informe spam
Ayuda Hacer una pregunta
Buenos dias,

Hace un tiempo muchos de nuestros pcs del dominio se quedaron infectados por
el virus WORM_DOWNAD. Actualmente nuestro antivirus ya solucionó el problema
y no tenemos ninguna infección.

Pero ahora resulta que el archivo de logs de las conexiones de los usuarios
es una pasada (tiene unos 300MB y solo ve los registros de las últimas 12
horas!) Antes podiamos ver incluso lo que había pasado en los últimos 15 dias.

No sabemos que hacer mas. Pasamos el Active Ports en los clientes y en todos
salia un proceso unknown que apuntaba a la IP 76.13.216.11 a través del
puerto 80. En el servidor con el active ports no aparece nada...

Un saludo y gracias por vuestra ayuda.
email Siga el debateRespuesta 3 respuestasRespuesta Tengo una respuesta
DRAGON AGE™: INQUISITION – Matadragones
 

Leer las respuestas

#1 Daniel Graciá
12/03/2009 - 18:22 | Informe spam
Hola buenas tardes,

¿Pero esos 300MB de registros son actuales, o la mayoría se ocasionaron
cuando los clientes estaban infectados?
Tendrás que investigar que proceso intenta acceder a esa IP, que
dependencias tiene.

Por mirar algo cerciorate de que el fichero HOSTS de los clientes que hacen
peticiones a esa IP, no tengan nada relacionado con esa IP.
Puedes bloquear con el Firewall corporativo la salida y entrada de esa IP,
si es que no pertenece a tu organización.

Saludos.

"Abast" escribió en el mensaje de noticias
news:
Buenos dias,

Hace un tiempo muchos de nuestros pcs del dominio se quedaron infectados
por
el virus WORM_DOWNAD. Actualmente nuestro antivirus ya solucionó el
problema
y no tenemos ninguna infección.

Pero ahora resulta que el archivo de logs de las conexiones de los
usuarios
es una pasada (tiene unos 300MB y solo ve los registros de las últimas 12
horas!) Antes podiamos ver incluso lo que había pasado en los últimos 15
dias.

No sabemos que hacer mas. Pasamos el Active Ports en los clientes y en
todos
salia un proceso unknown que apuntaba a la IP 76.13.216.11 a través del
puerto 80. En el servidor con el active ports no aparece nada...

Un saludo y gracias por vuestra ayuda.

Preguntas similares

 

Busqueda sugerida :